ADFS 身份验证

配置计算机以支持 ADFS，并确保您有权访问 ADFS 管理软件。请就此联系系统管理员。

配置 ADFS 以识别新的 Orchestrator 实例

注意：以下步骤对 ADFS 管理工具有效。请注意，以下过程是示例配置的简要描述。有关详细的操作，请访问官方 ADFS 文档。

打开 ADFS 管理并定义新的 Orchestrator 依赖方信任，如下所示：
1. 单击“依赖方信任”。
2. 在“操作”面板中，单击“添加信赖方信任”。系统将显示“添加信赖方信任向导”。
3. 在“欢迎”部分中，选择“声明感知”。
4. 在“选择数据”部分中，选择“手动输入有关信赖方的数据”选项。
5. 在“指定显示名称”部分的“显示名称”字段中，输入 Orchestrator 实例的 URL。
6. 配置证书部分不需要任何特定设置，因此可以将其保持原样。
7. 在配置 URL部分中，选择启用对 SAML 2.0 Web SSO 协议的支持，然后在信赖方 SAML 2.0 SSO 服务 URL字段中填写 Orchestrator 实例的 URL 并加上后缀 identity/Saml2/Acs。例如 https://orchestratorURL/identity/Saml2/Acs。
8. 在“配置标识符”部分的“依赖方信任标识符”字段中，填写 Orchestrator 实例的 URL。
9. 在选择访问控制策略部分中，确保选择允许所有人访问控制策略。
10. 接下来的两个部分（准备添加信任和完成）不需要任何特定设置，因此可以将其保留原样。
11. 新添加的信赖方信任将显示在“信赖方信任”窗口上。
12. 确保 URL 的默认值为“Yes”（“操作”>“属性”>“端点”）。
选择信赖方信任，然后从操作面板中单击编辑声明颁发策略。系统将显示编辑声明颁发策略向导。
单击“添加规则”，并使用“以声明方式发送 LDAP 特性”模板和以下设置来创建新规则：
配置 ADFS 后，以管理员身份打开 PowerShell，并运行以下命令：
- Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion（用步骤 1.e. 中设置的值替换 DISPLAYNAME）
- Restart-Service ADFSSRV

设置 Orchestrator/Identity Server 以使用 ADFS 身份验证

在 Orchestrator 中定义一个用户，并在“用户”页面上设置一个有效的电子邮件地址。
使用 Microsoft 管理控制台将身份提供程序提供的签名证书导入到 Windows 证书存储。
以系统管理员身份登录到管理门户。
转到“用户”，然后选择“安全设置”选项卡。
在“ 外部提供程序 ”部分中，单击“ SAML 2.0”下的“配置”：

“配置 SAML 2.0”面板将在窗口右侧打开。
进行如下设置：
- 选择“已启用”复选框。
- 将“ 服务提供程序实体 ID ”参数设置为 https://orchestratorURL/identity/Saml2/Acs。
- 将“身份提供商实体 ID”参数设置为通过配置 ADFS 身份验证获得的值。
- 将“单点登录服务 URL”参数设置为通过配置 ADFS 身份验证获得的值。
- 选择“允许主动执行的身份验证响应”复选框。
- 将“返回 URL”参数设置为 https://orchestratorURL/identity/externalidentity/saml2redirectcallback。
- 将“外部用户映射策略”参数设置为 By user email。
- 将 SAML 绑定类型 参数设置为 HTTP redirect。
- 在签名证书部分中，从下拉框中将存储名称参数设置为 My。
- 将存储位置参数设置为 LocalMachine。
- 将“指纹”参数设置为 Windows 证书存储中提供的指纹值。请访问此处，了解详细信息。
  
  备注：
  将所有出现的 https://orchestratorURL 替换为 Orchestrator 实例的 URL。
  
  确保 Orchestrator 实例的 URL 不包含斜杠。始终将其填写为 https://orchestratorURL/identity 而不是 https://orchestratorURL/identity/。
单击“保存”将更改保存到外部身份提供程序设置。
重新启动 IIS 服务器。